我在 Linux - Debian Wheezy x64 上托管网站。我们的 Web 服务器是 LiteSpeed
- 使用 APF 防火墙和 DDoS-Defeat
最近,我们收到了以下类型的日志,告诉我们这可能是一次潜在的攻击(??),但是用于了解这种特定情况的搜索却没有带来任何有用的结果。
您能否进一步阐明此类日志?我们应该关注它吗?如果是,有什么建议吗?
www kernel: [2175206.842121] ** RABHIT ** IN=eth0 OUT= MAC=02:00:00:5b:00:82:10:bd:18:e5:ff:80:08:00 SRC=195.39.196.50 DST=xx.xx.xx.xx LEN=44 TOS=0x08 PREC=0x00 TTL=52 ID=0 PROTO=TCP SPT=80 DPT=1 WINDOW=0 RES=0x00 ACK SYN URGP=0
DST 的来源是机器的 IP
像这样的重复日志并不多,偶尔会有 1-3 条 - 不同的 SRC IP
谢谢
答案1
该数据包看起来几乎像合法的 SYN-ACK 数据包。该数据包中唯一看起来不对的部分是临时端口号。临时端口号应为 49152 及以上,但您的数据包中端口号为 1。
这看起来像是针对 的一次可能的 SYN 洪水攻击195.39.196.50。该 IP 正在受到攻击,攻击者在攻击中伪造了您的源 IP 地址(攻击者可能同时伪造了数千个其他地址)。而且临时端口号也是由攻击者选择的。
如果确实如此,管理员将很容易抵御这种特定的 SYN 洪水,因为他们可以拒绝所有使用 1 作为临时端口的 SYN 数据包。
SYN 洪水正在试图耗尽服务器上的内存。该服务器收到的每个 SYN 数据包都会分配一些内存,这些内存将保持分配状态直到连接超时。您可以通过确保防火墙使用 RST 数据包响应无法识别的数据包来减少对该服务器的影响。这样,内存就不会一直分配到连接超时,而是只会在发送 SYN-ACK 并收到 RST 所需的几毫秒内分配。